(EU-)DSGVO - Das sollten Sie wissen

Was ist eigentlich die (EU)-DSGVO?

Die Datenschutz-Grundverordnung wurde von der Europäischen Union am 14. April 2016 angenommen und tritt ab dem 25. Mai 2018 in Kraft. Diese DSGVO ist ab diesen Zeitpunkt für alle Firmen anwendbar, welche auf dem Gebiet der Europäischen Union tätig sind. Mit dieser Reglung wird die Verarbeitung personenbezogener Daten durch Unternehmen EU-weit vereinheitlicht. Grundsätzlich soll dadurch der Schutz personenbezogener Daten innerhalb der Europäischen Union vereinheitlicht werden. Bürgerinnen und Bürger sollen damit mehr Kontrolle über ihre Personendaten erhalten. Die DSGVO wird für viele Schweizer Unternehmen eine direkte Auswirkung haben.

Gilt die DSGVO auch für mein Unternehmen mit Sitz in der Schweiz?

Die neue Datenschutz-Grundverordnung gilt auch für Schweizer Unternehmen. Dies, wenn das Unternehmen Produkte oder Dienstleistungen ausserhalb der Schweiz bzw. innerhalb der EU anbieten. Aber auch dann, wenn personenbezogene Daten, zum Beispiel auf der Firmenwebseite, von Bürgerinnen und Bürger aus der EU erfasst und gespeichert werden. Somit würde die DSGVO wahrscheinlich fast 95% aller Firmenwebseite in der Schweiz betreffen. Würde? Ja. Im Dokument "Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz" steht dabei folgendes Beispiel:

Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu und Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten zu erhalten. Die DSGVO ist wahrscheinlich anwendbar.

Was sollte ich tun, wenn mein Unternehmen von der DSGVO betroffen ist?

In diesem Abschnitt geben wir Ihnen ein paar Tipps, was Sie tun sollten, wenn Ihr Unternehmen von der DSGVO betoffen ist:

• Einwilligung für die Verarbeitung und Nutzung personenbezogener Daten einholen

Grundsätzlich ist die Datenverarbeitung nur erlaubt, wenn Sie eine Einwilligung der betroffenen Person erhalten haben. In der DSGVO wurde das Mindestalter auf 16 Jahre gesetzt. Das heisst, Sie müssen diese Personen angemessen und verständlich unterrichten, dass personenbezogene Daten gespeichert und allenfalls verarbeitet werden.

Tipp:

Holen Sie sich die Einwilligung für das Speichern und Verarbeiten der Daten mit einem Hinweis auf das Widerrufsrecht.
Dies geht am einfachsten bei einem Formular mit einer Checkbox, welche angeklickt werden muss. Wichtig dabei: diese Checkbox MUSS angeklickt werden und darf nicht schon vorausgefüllt sein.

Recht auf Berichtigung und Löschung

Wünscht es Ihr Besucher, müssen Sie die Daten schnellstmöglich korrigieren oder gar löschen. Hier spricht man vom "Recht auf Vergessenwerden".

Privacy by Design und Privacy by Default

Privacy by Design heisst nichts anderes als das der Schutz der gespeicherten personenbezogenen Daten bereits in der Entwicklung einer Hard- oder Software sichergestellt werden sollte.

Tipp:

Ihre Software, zum Beispiel Ihre Webseite, sollte immer auf dem aktuellsten Stand sein. Wir von NETNODE spielen bei unseren Wartungskunden Security-Updates sofort nach deren Erscheinen auf den entsprechenden Server ein.
Wichtig dabei, beim DSGVO ist nicht nur Ihre Webseite betroffen, sondern allenfalls auch Ihr CRM oder weitere Software, in welcher personenbezogene Daten gespeichert werden.

Privacy by Default heisst, dass Produkte standardmässig datenschutzfreundlich einzustellen sind. So ist z.B. das Setzen von Cookies nicht oder nur mit Zustimmung des Betroffenen erlaubt. Damit soll erreicht werden, dass nicht mehr so viele Daten gesammelt werden wie bisher (Datensparsamkeit).

Tipp:

Fragen Sie Ihre Kunden beim Besuch der Firmenwebseite, ob und welche Daten gespeichert werden dürfen. Google stellt zum Beispiel für Google Analytics verschiedene Möglichkeiten zur Verfügung, um das Tracking abzuschalten oder zumindest zu anonymisieren (die IP wird dann nicht gespeichert).
 

Dokumentations- und Meldepflicht

Das DSGVO sieht vor, dass Sie ein Register aller gespeicherten personenbezogenen Daten führen müssen. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Sollte es zu einer Datenschutzverletzung kommen, müssen Sie dieses Register innerhalb von 72 Stunden den Behörden zur Verfügung stellen. Firmen oder Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht - mit wenigen Ausnahmen - ausgenommen (vgl. Art. 30 § 5 DSGVO).

Müssen personenbezogene Daten in der Schweiz oder im EU-Raum gespeichert werden?

Nein. Auch mit der Einführung der DSGVO besteht keine Pflicht, dass personenbezogene Daten innerhalb der Schweiz bzw. der EU gespeichert werden müssen. Wichtig ist, dass die gespeicherten Daten entsprechend geschützt und gesichert werden.

Daten von NETNODE Hosting-Kunden werden auf Servern im Rechenzentrum unseres Hosting-Partners Hetzner in Deutschland gespeichert. Mailchimp-Kunden wissen Ihre Daten in den USA gespeichert.

Hilfe, was soll ich nun wirklich machen?

• Klären Sie ab, ob Ihr Unternehmen die DSGVO berücksichtigen muss
• Passen Sie die AGB-, Disclaimer, Datenschutz- und Impressumsseiten Ihrer Webseite an
• Speichern Sie personenbezogene Daten nur dann, wenn Sie das Einverständnis der entsprechenden Person erhalten haben
• Beachten Sie auch weitere Software in welcher Sie personenbezogene Daten speichern, wie zum Beispiel Ihr CRM oder Leadmanamgent-Tool

Angebot: Machen Sie Ihre Webseite DSGVO konform

Für Firmen und Organisationen haben wir ein Angebot zusammengestellt.

Mehr zum Angebot

Weiterführende Links

• Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz (PDF)
• DSGVO-Compliance von Hubspot
• Weg zur DSGVO vom Bayrischen Landesamt für Datenschutzaufsicht
• MailChimp's Legal Policies